RCE w macOS przez otwarcie pliku ZIP — aktualizacja jest dostępna

Mechanizm bezpieczeństwa GateKeeper w systemach Apple jest podatny na zdalne wykonanie kodu zwykłym plikiem ZIP. Funkcjonalność GateKeeper została wprowadzona już w 2012 roku i chroni przed nieautoryzowanym uruchomieniem programu bez podpisu cyfrowego. Domyślnie aplikacje pochodzące z AppStore są identyfikowane jako „bezpieczne” (co oszczędza konieczność reakcji użytkownika). Tak samo jest z wszelkimi dyskami zewnętrznymi i udziałami sieciowymi (nie zobaczymy żadnego ostrzeżenia).

Dzięki temu podejściu twórców GateKeepera atakujący może zamontować katalog ze swojego serwera (również spoza sieci wewnętrznej) jako udział sieciowy. Czyli macOS odczyta jego zawartość, ale to nie koniec. Korzystając z dowiązań symbolicznych (rodzaj „skrótu” znanego z systemów Windows) zawartych w archiwum ZIP tworzy dowiązanie katalogu na komputerze użytkownika z katalogiem na złośliwym serwerze. Więc użytkownik po wypakowaniu zobaczy katalog z serwera przestępcy, ale będzie uważał, że to katalog na jego dysku.

W dalszej kolejności przestępca wykorzystuje fakt, że domyślny menedżer plików Finder nie wyświetla pełnej ścieżki do zasobów. Dlatego użytkownik końcowy może nie zdawać sobie sprawy, iż właśnie uruchamia plik z serwera atakującego (GateKeeper nic nie wyświetli, bo jak wspomniałem, udziały sieciowe uznaje za zaufane). Odpowiedni kod i haker uzyskuje dostęp do shella z uprawnieniami zaatakowanego użytkownika. Jeśli ofiara korzysta z konta administratora, to mówiąc krótko, ma problem. Chociaż aby atak został przeprowadzony zgodnie z wolą przestępcy, to ofiara musi wejść do dowiązanego katalogu i uruchomić złośliwą aplikację. Dlatego również na macOS warto zainstalować antywirusa, bo może wykryć podejrzany kod.

Oczywiście już powstało malware o nazwie OSX/Linker, jednak nie wykryto dotychczas jego aktywności. Podobno znalezione próbki nie wykazują szkodliwych działań, ale wykorzystują podatność w GateKeeper.

Na szczęście aktualizacja już się pojawiła (Apple wiedziało o problemie od 22 lutego). Zaleca się wyłączenie domyślnego automatycznego montowania udziałów sieciowych poprzez (co już dawno powinno być de facto zrobione) zakomentowanie w pliku /etc/auto_master linijki, która zaczyna się frazą /net.

-mg